Welche Daten braucht das Land?
Was bedeutet das neue Datenschutzgesetz für die Immobilienbranche?
Das neue Datenschutzgesetz und die Immobilienbranche
Mit Blick auf das neue Datenschutzgesetz in der Schweiz, welches bald in Kraft treten wird, kommen auf Immobilieneigentümer:innen und Gebäudeverwaltungen neue und zusätzliche Verpflichtungen zu.
Mathias Rinka, 15. Mai 2023
Seit der Bundesrat-Sitzung von Ende August 2022 und der Annahme durch das Parlament einige Wochen später ist klar: Die Schweizer Wirtschaft und ihre Unternehmungen müssen sich innert zwölf Monaten auf ein neues Datenschutzgesetz (DSG), einstellen. Das totalrevidierte Datenschutzgesetz und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) sowie die neue Verordnung über Datenschutzzertifizierungen (VDSZ) treten per 1. September 2023 in Kraft.
Der bessere Schutz für persönliche Daten
Das neue DSG soll künftig vor allem für einen besseren Schutz individueller bzw. persönlicher Daten sorgen. Insbesondere werde damit «der Datenschutz den technologischen Entwicklungen angepasst», heisst es. Zugleich will die Politik damit die Selbstbestimmung über die persönlichen Daten stärken und die Transparenz bei der Beschaffung von Personendaten erhöhen. Hintergrund der bundesrätlichen Gesetzesaktion ist unter anderem das europäische Gesetz der Datenschutzgrundverordnung (DSGVO), welches auf EU-Ebene Ende Mai 2018 nach einer zweijährigen Übergangsfrist in Kraft trat und nun in der Folge in allen EU-Ländern gilt.
Das neue Datenschutzrecht der Schweiz stellt nun ab dem September 2023 «die Vereinbarkeit mit dem europäischen Recht sicher». Es ermöglicht zudem, die modernisierte Datenschutzkonvention 108 des Europarats zu ratifizieren. «Diese Anpassungen im neuen Datenschutzrecht sind wichtig, damit die EU die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennt und die grenzüberschreitende Datenübermittlung auch künftig ohne zusätzliche Anforderungen möglich bleibt.» Dies schreibt Adrian Lobsiger, seit dem Juni 2016 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB).
Die Branchenempfehlung des Immobilienverbands
«Mit der Inkraftsetzung des neuen Datenschutzgesetzes und der Verordnungen auf den 1. September 2023 kommt der Bundesrat einem Anliegen aus der Wirtschaft nach», erläutert er. Mit der Umsetzungsfrist von einem Jahr hätten die Datenschutzverantwortlichen in den Schweizer Firmen und Unternehmungen genügend Zeit erhalten, um die notwendigen Vorkehrungen für die Umsetzung des neuen DSG zu treffen. Doch ist dem wirklich so? Und wie hat sich die hiesige Immobilienbranche hierauf eingestellt?
«In der überragenden Mehrheit sind es zwar keine besonders schützenswerten Personendaten gemäss DSG. Ungeachtet dessen hat die Gesetzesrevision für die Immobilienwirtschaft eine Bedeutung von erheblicher Tragweite», nimmt der Schweizer Immobilienverband SVIT hierzu Stellung. Doch auch die Immobilienwirtschaft und angrenzende Branchen verarbeiten viele Daten. Daher gilt es, sich in einem Unternehmen über den Umgang mit Daten, die Zuordnung von Verantwortung in diesem Zusammenhang sowie die Sicherung und Archivierung von Daten bewusst zu werden.
Das Datenthema ist Chefsache
Für den SVIT ist klar: «Es gilt, entsprechende Prozesse zu definieren und das Thema auf Stufe Geschäftsleitung fest zu verankern. Bei kleineren und mittleren Unternehmen der Immobilienwirtschaft wird sich der Aufwand für eine gesetzeskonforme Umsetzung des DSG in überschaubarem Rahmen halten.» Aus diesem Grund veröffentlichte der Verband eine Vorgehensempfehlung zum neuen Datenschutzgesetz in der Schweiz und publizierte zugleich weitere Standardunterlagen von Branchenorganisationen (Link zu den Branchenempfehlungen des SVIT).
Im Fokus dort stehen dabei die typischen Dienstleistungen der Immobilienwirtschaft gegenüber Privatpersonen. Das neue DSG führt folgende wesentliche Veränderungen für Unternehmen gegenüber dem derzeit geltenden Gesetz ein:
- Nur noch die Daten natürlicher Personen sind künftig betroffen, die von juristischen Personen nicht mehr.
- Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen.
- Die Grundsätze «Privacy by Design¹» und «Privacy by Default²» werden eingeführt.
- Sogenannte «Folgenabschätzungen³» müssen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
- Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten «besonders schützenswerten Daten» – muss die betroffene Person vorgängig informiert werden.
- Ein Verzeichnis der Bearbeitungstätigkeiten von Personendaten wird obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU vor, deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.
- Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde, etwa durch einen Hackerangriff oder Datenklau. Dies ist unverzüglich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
Der SVIT nennt als mögliche sensible Gebiete bei der Datenverarbeitung das Mietinteressenformular, den Mietvertrag an sich, aber auch Heiz- und Nebenkostenabrechnungen. Auch Kontaktdaten potenzieller Immobilienkäufer:innen, Kaufverträge an sich sowie Zahlungsbelege (z.B. für Reservationszahlungen) werden vom Verband als «mögliche Berührungspunkte der Immobilienwirtschaft» im Zusammenhang mit dem neuen Datenschutzgesetz genannt.
«Die Angleichung des schweizerischen Datenschutzgesetzes an die europäische DSGVO ist ein Schritt in die richtige Richtung bezüglich des Umgangs mit persönlichen Daten. Wir begrüssen das Inkrafttreten deshalb sehr.»
Marcel Wehrle, CTO & Co-Founder von emonitor
Und was ist mit den Daten der Immobilien?
Etwas einfacher sieht es im Gegenzug mit reinen Gebäudedaten aus. Adressdaten einer Immobilie, Masse und Kubatur einer Liegenschaft sowie Informationen aus frei zugänglichen bzw. öffentlichen Datenbanken sind per se nicht als sensibel einzustufen. Offene öffentliche Standortinformationen werden beispielsweise für eine Vielzahl neuer PropTech-Lösungen genutzt. In diesem Zusammenhang sind beispielsweise die Tools und Services von PriceHubble (Big Data Analytics und Bewertungen zu Immobilienstandorten), Raumpioniere (Verdichtungspotenziale in den Städten und Gemeinden), Luucy (Simulationen für die Raum- und Immobilienentwicklung) und Nomoko (3D-Modellierungsprozesse) zu nennen.
Jedoch gibt es auch hier gewisse Rechte für Besitzer von Immobilien, wie etwa folgendes Beispiel aus Deutschland zeigt: Als Google dort mit seiner Applikation «Street View» im Jahr 2010 an den Start ging und ganze Strassenzüge im Vorbeifahren fotografierte, machte sich Widerstand in der Bevölkerung breit. In der Folge konnten Bewohner:innen und Eigentümer:innen von Gebäuden den Internetgiganten auffordern, ihre Immobilie zu «verpixeln», also unkenntlich zu machen. Daher gibt es heute noch viele weisse Flecken auf der Deutschland-Karte von Google Street View.
Ein weiteres Thema, das zunehmend in den Fokus rückt, sind die Betriebsdaten einer Immobilie. Unter dem Dach der grossen Buchstaben ESG werden diese Informationen immer relevanter. Teils werden die Offenlegungspflichten, was den CO2-Fussabdruck bzw. den Energieverbrauch eines Gebäudes angeht, auch immer fordernder. Vor dem Hintergrund von globalen Klimazielen und dem Immobiliensektor als einen der grossen Verursacher bzw. Produzenten von CO2 ist dies mehr als nur verständlich. Denn im Hinblick auf Nachhaltigkeitsaspekte, -labels bzw. -zertifikate von Gebäuden braucht es diese Informationen. Doch auch hier stellt sich früher oder später die Fragen: Welche Menge an Immobiliendaten benötigt die Öffentlichkeit, die Branche oder der Gesetzgeber für mehr Transparenz? Und: Ab welchem Moment sind diese Informationen, etwa bei den detaillierten Energieverbrauchsdaten eines Gebäudes, wieder auf einzelne Nutzer:innen zurückzuführen und somit möglicherweise ein Eingriff in individuelle Persönlichkeitsrechte? – Das Datenthema wird uns im Zeitalter der fortschreitenden Digitalisierung noch lange begleiten und für Diskussionsstoff sorgen.
—————————————————————————————————————
¹ «Privacy by Design» bedeutet, dass eine Software und Hardware von Grund auf so konzipiert und entwickelt wird, dass sie relevante Datenschutzmassnahmen von Anfang an berücksichtigt.
² «Privacy by Default» dient vorwiegend dem Schutz der Nutzer, die weniger technikversiert sind. Der Ansatz bezeichnet in anderen Worten: «Datenschutz ab Werk» und bedeutet, dass Software, Hardware und Services bei Auslieferung datenschutzfreundlich voreingestellt sind und die Privatsphäre der Website-User respektieren.
³ Die Datenschutz-Folgeabschätzung (DSFA) ist eine Risikobewertung in Bezug auf die Verarbeitung personenbezogener Daten im Unternehmen. Dieses Risiko bezieht sich auf den Schaden, den der Betroffene erleiden kann, wenn deren Verarbeitung mangelhaft ist. Mögliche Folgen können sein, dass Person diskriminiert werden, ihre Kreditwürdigkeit verlieren, Rufschädigung erfahren oder z. B. Kreditkartendaten «verloren» gehen und dadurch finanzieller Schaden entsteht.
Mathias ist freiberuflicher Journalist und schreibt seit über 20 Jahren bevorzugt über Themen der Immobilienwirtschaft. Für Content hochzwei berät er zudem Unternehmen und Organisationen aus der Immobilienbranche in Sachen Marketing und Kommunikation.